IAM 권한 경계 권한 경계는 사용자와 역할만 지원, 그룹은 지원하지 않음 IAM 개체의 최대 권한을 정의하는 고급 기능 예시) IAM Permission Boundary IAM 사용자에 연결하여, 권한을 설정한다 Permission 으로 AdministratorAccess 를 주었더라도, 권한 경계인 S3, Cloudwatch, EC2 내의 작업만 할 수 있다.

[정의] Global Service 로, 다수의 AWS 계정을 동시에 관리할 수 있게 한다 조직을 생성하면, 조직의 메인 계정이 관리 계정이 된다 조직에 가입한 기타 계정이나, 조직에서 생성한 계정은 맴버 계정이라고 부른다 맴버 계정은 한 조직에만 소속된다 관리 계정에서 모든 계정의 비용을 통합 결제할 수 있다는 장점이 있다 조직 내 모든 계정에 대해 집계된 사용량에 기반한 비용 할인을 받을 수 있다 계정 간에 예약 인스턴스와 Saving Plan 이 공유된다 예시) 어떤 계정에서 미사용 예약 인스턴스를, 다른 계정이 사용할 수 있다. 계정 생성을 자동화할 수 있는 API 가 있다. [원리] Organizational Unit (OU) 개념이 있다. (전체 계정의 외곽) OU 는 하나의 집합이라 생각하면..

[정의] 사용자에게 웹 및 모바일 앱과 상호 작용할 수 있는 자격 증명을 부여합니다 앱 사용자에게 가입 기능을 제공 로드 밸런서와 원활히 통합 앱에 등록된 사용자에게 임시 AWS 자격 증명 제공

미들웨어로 다른 서비스 간 합동 작업을 하는 방법을 살펴본다 여러 개 배포할 때는, 커뮤니케이션을 할 수 밖에 없다 (서비스는 정보와 데이터를 공유)그 방법은 크게 두 가지로 나뉜다 1. 동기 커뮤니케이션직접적으로 연결되어 있다.2. 비동기 혹은 이벤트 기반 유형   구매가 증가하거나, 한 서비스가 다른 서비스를 압도하는 경우, sync 에 문제가 발생할 수 있다.트래픽이 갑자기 급증 or 예측 불가할 때,애플리케이션 분리 및 계층을 확장해야 한다.SQS대기열 서비스애플리케이션을 분리하여, 대기열에 메시지를 담음무제한 처리량이 있음대기열에 최소 4일, 최대 14일 놔둘 수 있다.SQS 에 메시지를 보내는 API 를 SendMessage API 라고 한다.메시지를 보내는 주체를 생산자 (producer) ..

[정의]CDN (Content Delivery Network) 웹 사이트의 컨텐츠를 서로 다른 엣지 로케이션에 미리 캐싱하여 읽기 성능을 높임 네트워크 전체에 캐싱되므로 전 세계 사용자들이 낮은 레이턴시로 접근할 수 있어서 사용자 경험을 증대시킴 전 세계에 있는 총 216 개의 edge location 통해 구성 컨텐츠가 전체적으로 분산되어 DDOS 공격으로 부터 방어 가능 [CloudFront - Origins]1. S3 Bucket- CloudFront 의 원본 제공 방식- CloudFront 통해 파일 분산 및 캐싱- Bucket 에는 CloudFront 만 접근 가능- 이를 가능하게 하는 것은 OAC (Origin Access Control, 원본 접근 제어) 로, 기존 OAI 를 대체함- 버킷에..

CORS : Cross-Origin Resource Sharing (교차 오리진) [정리] 웹 브라우저 보안 메커니즘으로, 다른 오리진에서 한 S3 Bucket 에 들어있는 검색된 이미지, 자산, 파일을 요청할 수 있게 해줌 Origin = 체계 (프로토콜) + 호스트 (도메인) + 포트로 구성 ex) https://www.sungbin.com protocol: https domain: www.sungbin.com port:443 체계, 호스트, 포트가 동일할 경우, 오리진이 같다고 말한다. CORS 는 Web Browser 기반 보안 메커니즘. 메인 오리진을 방문하는 동안 다른 오리진에 대한 요청을 허용하거나 거부한다. Web browser 가 첫번째 오리진 Web Server 에 https 요청 결과..

아래의 4 가지 방법을 이용해서 S3 버킷에 있는 객체들을 암호화할 수 있다. 1. 서버 측 암호화 (SSE / Server-Side Encryption)1) SSE-S3 (SSE with amazon s3 managed keys)s3 내 관리 키 이용 서버 측 암호화AWS 가 처리, 관리AWS 가 키 소유사용자는 키 소유 불가AES-256 버킷과 객체에 대해 기본값으로서 활성화사용자는 올바른 헤더를 써서 파일을 업로드S3 는 S3 가 보유한 키와 그 객체를 짝지어준다그런 다음 키와 객체를 혼합하여 암호화  2) SSE KMS (Key Management Service)KMS 키를 이용하여 암호화 키 관리S3 서비스가 보유한 키에 의존하지 않음사용자가 Key 를 관리누군가 KMS 에서 키 사용할 때, C..

[정의]단일 요청으로 기존 S3 객체에서 대량 작업을 수행하는 서비스사용 사례가 매우 많다한번에 많은 S3 객체의 메타데이터와 property 수정 가능배치 작업으로 S3 버킷 간에 객체를 복사 가능중요) S3 버킷 내 암호화되지 않은 모든 객체를 암호화 가능ACL 이나 태그 수정 가능S3 Glacier 에서 한 번에 많은 객체 복원 가능Lambda 함수 호출해 S3 Batch operation 모든 객체에서 사용자 지정 작업 수행 가능2) 객체 목록에서 원하는 작업 무엇이든지 수행 가능객체의 목록, 수행할 작업 옵션 매개 변수로 지정 3) 재시도를 관리하고, 진행 상황을 추적하고, 작업 완료 알람을 보내고, 보고서 생성 등이 가능 4) S3 inventory 라는 기능 사용하여 객체 목록을 가져오고, ..